Kontroly a rozhodnutí ÚOOÚ v prvním pololetí roku 2019

Úřad pro ochranu osobních údajů („ÚOOÚ“) zveřejnil přehled uzavřených i probíhajících kontrol za první pololetí roku 2019 v oblasti ochrany osobních údajů a nevyžádaných obchodních sdělení. Níže uvádíme shrnutí i konkrétní zajímavosti z uskutečněných kontrol.

• Četnost kontrol: Kontrolou bylo dotčeno celkem 43 subjektů, a to jak z oblasti veřejnoprávní (např. Česká školní inspekce, Česká televize či ministerstva) tak soukromoprávní (např. banky, pojišťovny, IT společnosti).
• Způsob zahájení kontroly: V oblasti ochrany osobních údajů byla zhruba polovina kontrol zahájena na základě kontrolního plánu ÚOOÚ a polovina na základě obdrženého podnětu či stížnosti, přičemž 3 kontroly byly provedeny v důsledku subjektem provedeného ohlášení porušení zabezpečení osobních údajů. V oblasti nevyžádaných obchodních sdělení byly všechny kontroly zahájeny v návaznosti na podnět subjektu údajů.
• Uložené pokuty: V oblasti ochrany osobních údajů byla pokuta uložena celkem v 5 případech – nejnižší v částce 7 tisíc Kč, nejvyšší pak v částce 450 tisíc Kč, a to společnosti STEM/MARK a.s. za zpracování bez právního titulu (společnost zakoupila databázi klientů, která unikla některému z mobilních operátorů). V případě nevyžádaných obchodních sdělení se pokuty pohybovaly v částkách 25 až 80 tisíc korun, a to typicky za porušení povinností vyplývajících ze zákona o některých službách informační společnosti (nedostatečné označení obchodního sdělení či identifikace odesílatele).

Závěry z kontrolní činnosti a doporučení ÚOOÚ:

• Balanční testy: V případě zpracování osobních údajů na základě oprávněného zájmu klade ÚOOÚ důraz na to, aby správce vypracoval tzv. balanční test, tedy aby poměřil zájmy správce a třetích osob na jedné straně a zájmy a základní práva subjektů údajů na straně druhé, a rovněž aby provedení tohoto testu řádně zdokumentoval.
• Oblast IT: Stane-li se počítačový systém nebo počítačový program předmětem útoku, správce údajů musí porušení oznámit nejen Policii ČR, ale i ÚOOÚ.
• Oblast finančních služeb a pojišťovnictví: Dojde-li k převodu obchodního závodu nebo jeho části, přejde na právního nástupce veškerá smluvní dokumentace, včetně osobních údajů. Právní nástupce je povinen zpracovávat osobní údaje stejným způsobem jako předchozí vlastník.
• Marketing: ÚOOÚ upozorňuje na koupě databází z neznámých zdrojů, jedná se v zásadě o nelegální činnost, neboť jde o zpracování osobních údajů bez právního titulu.
• Biometrie: Použití hlasové biometrie za účelem ověření identity klienta při telefonování do klientského centra je v pořádku, pokud dal klient souhlas, který mohl kdykoliv odvolat. Použití technologie FaceID shledal ÚOOÚ jako oprávněné, neboť kontrolovaná osoba byla schopna prokázat, že její použití je nezbytné a účelu nelze dosáhnout jinými prostředky.
• Plnění informační povinnosti: V případě žádosti o přístup je žadateli nutné poskytnout mimo jiné informaci o konkrétních příjemcích osobních údajů. Kategorie příjemců lze poskytnout pouze tehdy, není-li identita příjemců správci (prozatím) známa, a to například proto, že osobní údaje jim mají (nebo mohou) být předány až v budoucnu.

Další vývoj v oblasti kodexů chování a certifikací

Kodex chování je samoregulační nástroj, skrze který zpracovatelé a správci osobních údajů mohou prokázat soulad s nařízením GDPR. Samotný kodex by měl dostatečně konkrétně definovat základní zásady, postupy a požadavky na zpracování osobních údajů vyplývající z nařízení GDPR pro skupinu správců či zpracovatelů stejného odvětví (např. pojišťovny, banky atp.). Kodex bude proto nejčastěji zpracovávat určitý svaz, sdružení či aliance sdružující více subjektů z téhož segmentu.

Kodex musí být předložen ÚOOÚ. Ten však kodexy nevytváří, pouze text posoudí a vydá stanovisko, zda je text v souladu s nařízením GDPR a kodex případně schválí. Byť je kodex chování volitelnou variantou ověření souladu s nařízením GDPR, v případě, že se správce či zpracovatel přihlásí k jeho dodržování, je povinen podrobit se pravidelnému monitorování ze strany nezávislého subjektu. Před spuštěním celého procesu musí ÚOOÚ předložit Evropskému sboru pro ochranu osobních údajů ke schválení požadavky pro akreditaci monitorujících subjektů. Do té doby proto nelze kodexy chování ÚOOÚ předkládat.

Další možností prokázání souladu s nařízením GDPR je osvědčení (certifikace) o ochraně osobních údajů. Osvědčení je rovněž dobrovolné a jedná se o doklad, který potvrzuje, že činnost správce či zpracovatele odpovídá požadavkům stanoveným nařízením. Osvědčení může mimo jiné usnadnit obchodní styk (zejména prodej a nákup konkrétních produktů a služeb) nebo předávání osobních údajů do zahraničí. Osvědčení může vydat pouze subjekt pro vydání osvědčení, který obdržel akreditaci od Českého institutu pro akreditaci („ČIA“). V současné době ještě ČIA o akreditaci žádat nelze, jelikož mu stále nebyla předána akreditační kritéria pro subjekty, které mají následně vydávat osvědčení o souladu s nařízením GDPR.

Jak postupovat v případě porušení zabezpečení a plnění informační povinnosti?

ÚOOÚ zveřejnil svá zjištění ohledně praxe při hlášení porušení zabezpečení osobních údajů ze strany správců údajů. Nejedná se přitom jen o statistiky. ÚOOÚ dává též rady a doporučení, jak takovým útokům předejít, případně jak se proti nim bránit. Dále ÚOOÚ zveřejnil formulář, který nahlašování podstatně zjednoduší a pomůže tak splnění informační povinnosti správců osobních údajů.

Za dobu účinnosti úřad obdržel okolo 600 ohlášení. Mezi nejčastější porušení patří tzv. phishing. Jde o napadení informačního systému uživatele, který omylem zpřístupnil své přihlašovací údaje zcela neznámému subjektu, načež dojde k jejich zneužití. Kontakty, se kterými uživatel komunikoval, jsou poté dalším terčem phishingového útoku. Velká část takových útoků pak navíc končí instalací škodlivého softwaru do systému, takzvaného ransomware. Jde o program, jenž uživateli zašifruje veškerá data, která se znovu zpřístupní pouze po zaplacení určité peněžní částky jakožto výkupného. Obranou proti takovým praktikám je zejména pravidelné zálohování dat.

Došlo-li k úspěšné obnově zneužitých údajů bez dalších závažných následků, není takovou událost třeba ÚOOÚ ohlašovat. V opačném případě mají správci povinnost porušení nahlásit. Zejména správcům, kteří nemají k dispozici odborníka na ochranu osobních údajů, může pomoci nový formulář, který nahlašování porušení zjednodušuje. Tento formulář tak nejen usnadňuje samotné nahlašování porušení, ale zároveň pomáhá správcům tuto povinnost řádně plnit.

Jak řádně plnit informační povinnost ve vztahu k zákazníkům

Výměna relevantních informací v obchodním styku je pro vznik a realizaci právního vztahu nezbytná. Je ale třeba odpovídajícím způsobem zabezpečit informace, které zákazník podnikateli poskytuje, a ochránit je před jejich případným zneužitím. Podnikatel má zároveň povinnost provádět zpracování otevřeným způsobem a poskytnout subjektu dostatečné informace o způsobu zpracování.

K řádnému plnění informační povinnosti se ÚOOÚ vyjadřuje ve své metodice. ÚOOÚ se ve své praxi setkává s tím, že zákazník je o zpracování jeho osobních údajů informován odkazem na určitý samostatný dokument, stejně jako například odkazem na obchodní podmínky. S takovým postupem se však pojí možné výkladové problémy. Takový odkaz je v praxi možný, je však důležité všechny informace uvést na jednom místě tak, aby zákazník mohl vše dobře najít a nemusel složitě hledat ve více dokumentech.

Úřad doporučuje následující postup:

• Vždy definovat a popsat účely, pro které hodlá správce osobní údaje zpracovávat.
• Ten, kdo získává informace od subjektů údajů, musí subjekty poučit o tom, zda je poskytování zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt povinnost údaje poskytnout, případně o následcích jejich neposkytnutí.

Ke každému účelu zpracování je pak nutné uvést další informace o zamýšleném zpracování osobních údajů, v souladu s články 13 a 14 GDPR. Jde zejména o informaci, za jakým účelem a na jakém právním základě budou údaje zpracovávány, kdo je správce (a jeho případný zástupce) s uvedením kontaktních údajů, o případném příjemci a o právu na přístup, opravu nebo výmaz osobních údajů, omezení zpracování, vznesení námitky proti zpracování i právu na přenositelnost údajů.

Ukládání cookies vyžaduje aktivní souhlas

Soudní dvůr Evropské unie rozhodl dne 1. října 2019 ve věci C-673/17 (případ Planet49), že ukládání souborů cookies vyžaduje aktivní souhlas internetových uživatelů a nepostačuje tedy předem zaškrtnuté políčko.

Skutečnost, že společnost Planet49 používá v rámci online reklamních loterií předem zaškrtnuté políčko, kterým zájemci o účast v loterii vyjadřují souhlas s umístěním souborů cookies a jehož zaškrtnutí je třeba k odmítnutí svého souhlasu zrušit, zpochybnila německá federace spotřebitelských organizací.

Soudní dvůr zároveň konstatoval, že informace, které musí poskytovatel služeb poskytnout uživateli, zahrnují dobu funkčnosti souborů cookies, jakož i možnost, aby k těmto souborům cookies měly přístup třetí osoby.

Verdikt může být zajímavý z pohledu České republiky, jelikož německý právní řád, stejně jako ten český, sběr aktivního souhlasu s ukládáním cookies na internetových stránkách nevyžaduje, ačkoliv by podle evropské ePrivacy směrnice měl. Proto může být dobré sledovat, zda rozhodnutí nevyvolá diskusi nad nutností změny českého zákona.

Německé úřady usilují o sjednocení přístupu při ukládání pokut

Společný výbor německých úřadů pro ochranu osobních údajů („DSK“) se usnesl na konceptu nové metodologie pro výpočet pokut podle nařízení GDPR. Zveřejněný koncept v zásadě upřesňuje požadavky čl. 83 GDPR a zřejmě bude předmětem dalších diskusí a úprav. Cílem konceptu je poskytnout orgánům dozoru v oblasti ochrany údajů jednotnou metodologii a nastavit tak systematickou a transparentní správní praxi v oblasti posuzování správních deliktů v oblasti ochrany osobních údajů a ukládání pokut za tyto delikty. Koncept se vztahuje pouze na ukládání pokut v řízeních vedených proti obchodním společnostem a netyká se tedy pokut ukládaných spolkům nebo fyzickým osobám za delikty nesouvisející s jejich podnikatelskou činností.

Podle odhadu německé odborné veřejnosti povede použití předložené metodologie k ukládání výrazně vyšších pokut, než dosud vyplývaly z běžné rozhodovací praxe německých orgánů dohledu. Metoda převážně lineárního výpočtu (počínaje obratem) vede k riziku uložení závažných sankcí, a to zejména pro společnosti a skupiny s vysokými obraty. Přestože se jedná o pouhý koncept, metodologie se již začíná zachycovat v praxi: kupříkladu Berlínský komisař pro ochranu údajů nedávno oznámil svůj záměr uložit pokuty ve výši několika milionů EUR.  Zároveň bylo oznámeno, že metodologie bude předložena k diskusi Evropskému sboru pro ochranu osobních údajů sdružujícího úřady pro ochranu osobních údajů členských států, a tedy není vyloučeno, že by v budoucnu mohla být uplatňována i v jiných členských státech.

Zveřejněný koncept vychází z posuzování dvou klíčových faktorů, a sice typové závažnosti porušení a velikosti předmětné společnosti. První část dokumentu obsahuje metodologii pro posuzování škodlivosti porušení a jeho hodnocení prostřednictvím přidělení tzv. stupně závažnosti (Schweregrad). Koncepce kategorizuje porušení a dělí je na málo závažná (leicht), středně závažná (mittel), závažná (schwer) a zvláště závažná (sehr schwer). Pro účely posuzování závažnosti budou mít největší relevanci zejména doba trvání protiprávního jednání, povaha, rozsah a účel nezákonného zpracování, počet subjektů údajů dotčených zpracováním a rozsah újmy, kterou subjekty údajů utrpěly. V potaz by měly rovněž být brány způsob zavinění (nedbalost či úmysl), opatření ke zmírnění škod, historie předchozích porušení, spolupráce s dozorovým orgánem či realizace nápravných opatření uložených orgánem dohledu v minulosti.

Druhá část obsahuje návod pro přiřazení konkrétní výše pokuty s ohledem na velikost předmětné společnosti. Metodologie posuzování velikosti společnosti je primárně založena na stanovení tzv. denních sazeb (Tagessatz), které se vypočítávají na základě celosvětového obratu společnosti (resp. skupiny) za předchozích 360 dní. Metodologie kategorizuje společnosti podle obratu do čtyř skupin (mikropodnik, malý podnik, střední podnik a velký podnik), které dále dělí na podkategorie pro co nejpřiléhavější stanovení hodnoty společnosti. Ukazatele se následně násobí stanoveným koeficientem v závislosti na určeném stupni závažnosti porušení.